恶意行为
-
爬虫行为和恶意抓取、资源盗用
- 基础防盗链
referer_module
secure_link_module
对数据进行加密验证和时间失效access_module
对后台、部分用户服务的数据进行 ip 防控
- 基础防盗链
应用层攻击手段
文件上传漏洞
- 利用可以上传的接口将恶意代码植入服务器中,再通过 url 去访问执行代码
- 对文件后缀等进行判断
SQL 注入
- 利用未过滤 / 未审核用户输入的攻击方法,让应用允许本不应该允许的 SQL 代码
nginx 防攻击策略
- 可以使用开源项目 https://github.com/loveshell/ngx_lua_waf
- 拦截 cookie 类型攻击
- 拦截异常 post 请求
- 拦截 cc 攻击
- 拦截 url
- 拦截 arg